A auditoria em sistemas de informação possui como característica principal o foco na análise e avaliação. Estes dois pontos são utilizados tanto em processos de planejamento, desenvolvimento, testes e aplicações de sistemas, como na verificação da estrutura lógica, física, ambiental, organizacional, segurança e proteção da informação. Ou seja, a auditoria de sistemas não possui como objetivo apenas a função da informática, mas também todos os sistemas de informação, informatizados ou não que estão presentes no dia-a-dia organizacional.
A função da auditoria de sistemas de informação é possibilitar uma adequação, revisão, avaliação e recomendações para o aprimoramento dos controles internos nos sistemas de informação, visando avaliar a utilização de recursos humanos e tecnológicos. Ela deve atuar em todos os sistemas da organização, seja no nível operacional, tático ou estratégico e deve possuir seus objetivos pautados em: efetividade, eficiência, confidencialidade, integridade, disponibilidade, compliance (conjunto de disciplinas para fazer cumprir as normas legais e regulamentares) e confiança.
Os objetivos globais da auditoria de sistemas de informação se resumem em:
- Integridade: o sistema deve garantir a consistência e confiança nas transações processadas;
- Confidencialidade: as informações são reveladas somente às pessoas que necessitam conhece-las;
- Privacidade: as funções incompatíveis nos sistemas são segregadas;
- Acuidade: as transações processadas podem ser validadas;
- Disponibilidade: o sistema deve estar disponível para cumprimentos dos objetivos organizacionais;
- Auditabilidade: os sistemas devem documentas logs operacionais que permitam trilhas de auditoria;
- Versatilidade: o sistema deve ser amigável, de fácil adaptação ao fluxo operacional da organização;
- Manutenibilidade: políticas e procedimentos operacionais devem contemplar controles quanto a teste, conversão, implantação e documentação de sistemas novos ou modificados.
Para a correta análise e avaliação, a auditoria de sistemas é dividida em modalidades que tendem a tornar mais eficaz sua implantação. A auditoria durante o desenvolvimento de sistemas compreende auditar todo o processo de construção de sistemas de informação, da fase de requisitos até a sua implantação. A auditoria em sistemas em produção preocupa-se com os procedimentos e resultados dos sistemas já implantados, na segurança, corretude e tolerância a falhas. A auditoria no ambiente tecnológico compreende a análise do ambiente de informática em termos de estrutura organizacional, contratos, normas técnicas, custos, nível de utilização de equipamentos e planos de segurança e de contingência. E por fim, a auditoria em eventos específicos que compreende a análise das causas, consequências e ações corretivas cabíveis em eventos não cobertos pelas auditorias anteriores.
Referências
CARNEIRO, Alberto. Auditoria de Sistemas de Informação. 2004. 2ª edição. Editora FCA, Lisboa – Portugal.
LYRA, Maurício Rocha. Segurança e auditoria em sistemas de informação. Rio de Janeiro: Ciência Moderna, 2008. 253 p.